Moin;
also ich schlenderte so arglos durchs Internet auf der Suche eines Bloodpatches, :freak:, und plötzlich meldet mein Rechner Ram- und Harddiskfehler. Und rein zufällig startet ein Wiederherstellungsprogramm, dass mir Erlösung verspricht. ;D

Ist natürlich ein Link auf ne fiese Falle und die wollen mich ausrauben.....

Um es abzukürzen: Beim Systemstart kurzerhand die Systemwiederherstellung aktiviert und nun ist Ruhe. Oder doch nicht? Was ist von einer Virusbeseitigung via Systemwiederherstellung zu halten? Sollte ich nicht lieber die Recovery- DVDs einsetzen?
Handelt sich um ein Win7- Notebook......


Edit: Mit Kidnapping meine ich was ich sage: Der Rechner war komplett außer Gefecht gesetzt, keine Funktion mehr außer dieses ominösen Online- Retters. Habe sowas noch nie erlebt, und wenn es nicht nur das Notebook gewesen wäre, hätte es mir einen Mordsschrecken eingejagt. So sehe ich das recht locker und bin mal auf möglichst fundierte Aussagen gespannt. DAss ich die Kiste besser komplett plattmachen und formatieren sollte, weiß ich selbst. Aber was ist schon perfekt........

Ein Virus kann die Systemwiederherstellung ja ebenfalls ausschalten bzw, die vor dem Befall einfach löschen. Da man das mit einer Zeile machen kann wäre er doof, wenn er das nicht machen würde.
Sicher dass da nicht einfach nur ein aufdringliches Browserfenster aufgegangen ist?
Falls nicht solltest du mal schauen, wie der auf deinen Rechner gekommen ist.

Ich vermute (wie glaube ich auch PatkIllA), dass es gar nicht zu einer echten Infektion gekommen ist.

Trotzdem würde ich zumindest halbwegs sicher gehen, dass kein Virus auf dem PC ist:
Verlauf und (Flash-) Cookies löschen (im Hauptbrowser, aber auch im IE), Datenträgerbereinigung und dann mit Live CD(s) checken.

Empfehlen kann ich für letzteres zwei Programme:

Microsoft Standalone System Sweeper (http://connect.microsoft.com/systemsweeper)

Kaspersky Rescue Disk (http://support.kaspersky.com/faq/?qid=208282163)

Beide lassen sich auf USB-Sticks nutzen, soweit Dein System von USB booten kann)
Das MS-Tool ist absolut selbsterklärend. Führe es ausund es fragt, ob Du eine CD brennen willst oder einen USB-Stick erstellen willst.
Bei Kaspersky gibt es die Rescue Disk 10 (http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/) und das ist einfach eine ISO-Datei die man brennen kann.
Alternativ kann man mit der ISO und dem offiziellen Kaspersky-Programm Rescue2Usb (http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/rescue2usb.exe) sehr leicht selbst einen USB-Stick erstellen. Einfach ausführen und angeben welchen Stick man verwenden will und wo die ISO liegt.

Anmerkung: Der Link oben führt bewusst zum englischsprachigen "Howto"-Artikel wie man einen Kaspersky-Live-USB-Stick erstellt weil die deutsche Version des Artikels längst nicht so übersichtlich und gut ist. Die Links die ich hier direkt gepostet habe findet man dort ebenfalls. Ebenso eine kurze, (natürlich englischsprachige) Erklärung.

Ich hoffe das hilft Dir etwas.

Ich vermute (wie glaube ich auch PatkIllA), dass es gar nicht zu einer echten Infektion gekommen ist.

.

Doch ist es. ich kenne dieses verhalten aus eigener erfahrung.
In diesem Falle ist mit dem System nichts mehr zu machen.
Es reagiert kein programm, keine anwendung mehr, alle möglichkeiten, seien es virenscanner, regedit oder taskmanager, msconfig oder systemsteuerung sind blockiert.
Unter dem abgesicherten modus funktioniert noch manches, aber ich habe die versuche, das vernünftig wegzubekommen sein gelassen.
was half, war ein einige tage alter wiederherstellungspunkt.
Offensichtlich befindet sich diese scareware ausschliesslich in systemordnern, die bei der wiederherstellung überschrieben werden. Bei einem anschliessenden Scan fand sich nämlich nichts relevantes mehr.
Ich habe allerdings die Herstellung von einem sauberen medium heraus gestartet (Bootcd), ich weiss nicht ob es sauber funktioniert, die herstellung aus dem befallenen system selbst heraus zu starten.

Doch ist es. ich kenne dieses verhalten aus eigener erfahrung.
In diesem Falle ist mit dem System nichts mehr zu machen.
Es reagiert kein programm, keine anwendung mehr, alle möglichkeiten, seien es virenscanner, regedit oder taskmanager, msconfig oder systemsteuerung sind blockiert.
Unter dem abgesicherten modus funktioniert noch manches, aber ich habe die versuche, das vernünftig wegzubekommen sein gelassen.
was half, war ein einige tage alter wiederherstellungspunkt.
Offensichtlich befindet sich diese scareware ausschliesslich in systemordnern, die bei der wiederherstellung überschrieben werden. Bei einem anschliessenden Scan fand sich nämlich nichts relevantes mehr.
Ich habe allerdings die Herstellung von einem sauberen medium heraus gestartet (Bootcd), ich weiss nicht ob es sauber funktioniert, die herstellung aus dem befallenen system selbst heraus zu starten.

Doch, es hat funktioniert. Beim Hochfahren mit Alt F10 die Rettungsprogramme aufgerufen und dann wie Du einen Systempunkt gewählt. Auch bei mir war die Kiste komplett gekapert, daran zu sehen, dass der Systemstart so lange unauffällig war, bis sich die bösartige Applikation gestartet hat. Danach ging rein gar nix mehr, nix Explorer, nix andere Programme und nix Taskmanager. Nix, nada, totaler Block.

Ich werde vorsichtshalter einen Scan von der Desinfect- DVD von der c't durchführen. Da sind afaik drei verschiedene Scanner drauf, auch Kasperski, und die ziehen auch die letzten Updates.

Immerhin hat der Virus auch eine gute Seite: Er ist nicht völlig destruktiv, man will ja dass ich auf die besagte Seite gehe und deren Software erwerbe. Also gehe ich davon aus, dass nach dem Wiederherstellen der Schreck vorbei ist.

Also gehe ich davon aus, dass nach dem Wiederherstellen der Schreck vorbei ist.Und die Lücke weiter offen für die nächste Seite.

Administratorkonto?

Ich habe eine Zeit lang eine VM verwendet weil ich unter WinXP 64 ein funktionierendes WinXP 32 brauchte und habe es mir zur Angewohnheit gemacht dubiose Seiten innerhalb der VM aufzurufen.
Was natürlich Pustekuchen ist wenn man aus Bequemlichkeitsgründen die komplette VM im Netzwerk freigegeben hat und wild Dateien hin und her schiebt so wie ich das auch gemacht hab, ich sage aber dazu dass ich die VM nur aus Kompatibilitätsgründen und nicht aus Sicherheitsgründen laufen gehabt hab.

....und dann war da noch der alte, abgedroschene, aber dennoch äußerst richtige Satz: "Einem einmal kompromittierten System ist nie wieder zu trauen."
==> CleanInstall ist daher die einzig saubere Lösung.